Disclosure:
联盟委员会

虽然VPnmentor可以在使用我们的链接进行购买时收到佣金,但这对评论内容或审查的产品/服务没有影响。我们提供直接链接,以购买作为附属计划的一部分的产品。

• Ownership

VPnmentor由Kape Technologies PLC拥有,拥有以下产品:Cyber​​Ghost,Zenmate,私人互联网接入和Intego,可以在本网站上进行审核。

•专业评论

VPnmentor包含由我们的社区审核人员撰写的评论,并根据审阅者的独立和专业审查产品/服务。

• Reviews Guidelines

VPnmentor上发布的审查由专家撰写,根据我们的严格审查标准来检查产品。此类标准确保每次审查都基于对审核人的独立,专业和诚实的审查,并考虑了产品的技术能力和品质,以及用户的商业价值,也可能影响该产品在网站上的排名。

报告:1,000岁的整形手术患者暴露在大规模的3d彩吧论坛泄漏中

由NOAM ROTEM和RAN LOCAR领导, vpnmentor. 研究团队最近发现了 属于整形外科技术公司的违规3d彩吧论坛库。

NextMotion提供在皮肤科,化妆品和整形手术中使用数码摄影和视频设备的诊所。

受损的3d彩吧论坛库包含10万人的患者个人资料图像,通过NextMotion的专有软件上传。这些非常敏感,包括所治疗的患者面孔和特定区域的图像。

这次违规使其客户提供了令人难以置信的脆弱,其客户,并代表了公司的3d彩吧论坛隐私政策的重大失效。

公司简介

位于法国,NextMotion于2015年由一支整个整体外科医生组成,提供诊所:

“数字和切削刃技术工具将有助于解决之前和后的成像问题,让您的患者放心,简化您的3d彩吧论坛管理并提高您的电子商务。”

该公司已迅速增长。 它在2019年实现了全球业务,在35个国家全球170名诊所,投资170万欧元,以进一步全球扩张。

发现和所有者反应的时间表

有时,3d彩吧论坛违规的程度和3d彩吧论坛的所有者是显而易见的,问题很快就解决了。但罕见的是这些时间。最常见的是,我们需要几天的调查,并在理解股权或泄露3d彩吧论坛时。

了解违规行为及其潜在影响程度谨慎和时间。 我们努力发布准确和值得信赖的报告,确保每个读它们的人都了解他们的严重性。

一些受影响的缔约方否认了事实,无视我们的研究,或扮演它的影响。所以,我们需要彻底和 确保我们发现的一切都是正确的准确性。

在这种情况下,3d彩吧论坛库被命名为公司,所以 我们很快将NextMotion识别为潜在的所有者。 我们进一步调查以确保在前进之前确保这是正确的。

  • 发现日期: 1月24日2020年1月24日
  • 日期供应商联系: 1月27日2020年
  • 与AWS联系日期: 2020年1月30日
  • 行动日期: 2020年2月5日
  • 答复日期: 11th February 2020

3d彩吧论坛库中的条目示例

NextMotion在其网站上索赔:

“所有3d彩吧论坛都是100%安全的, 存储在符合您所在国家/地区的最新健康3d彩吧论坛存储规则的医疗云上(GDPR,HIPAA,ISO等)。“

然而,基于我们团队的发现, 此情况并非如此。

NextMotion正在使用Amazon Web服务(AWS)S3存储桶3d彩吧论坛库来存储患者图像文件和其他3d彩吧论坛,但留下它完全不安全。

我们的团队几乎可以访问 900,000个单个文件。 这些包括高度敏感的图像,视频文件和文书工作 与整形外科,皮肤病理疗和咨询有关 使用NextMotion技术的诊所进行。

我们查看的私人个人用户3d彩吧论坛包括:

  • 治疗发票
  • 拟议治疗的轮廓
  • 视频文件,包括360度的身体和面部扫描
  • 病人外形照片,两个面部和身体

在下列扫描中,概述了患者的各种整形手术程序,具有成本和日期。

如下两个例子所示,还暴露了不太强烈程序的文书工作文件。

以下是患者在其脸上准备程序的例子。这包括我们从我们查看的视频中获取的截图。 (模糊我们的团队为隐私目的而完成)

更多的图像不仅仅是敏感,而且非常简称。 我们的团队从外科手术后立即拍摄了妇女暴露的乳房和生殖器的特写镜头。 (如下所示的一个合适的例子)

这些照片被释放到公共领域 受影响的妇女毁灭性。

在撰写本文时,3d彩吧论坛库中的照片和文件的起源并不清楚,因为它附带的很少的信息。 这种泄漏可能影响世界各地的NextMotion客户(及其患者)。

暴露的文书工作和发票还包含个人可识别的信息(PII)3d彩吧论坛。这种类型的3d彩吧论坛可用于 以广泛的骗局,欺诈和在线攻击为目标人员。

NextMotion的3d彩吧论坛库对所公开的人们提出了真正的风险,为所有参与者提供了广泛的隐私和安全影响。

3d彩吧论坛泄露影响

鉴于公开3d彩吧论坛库内的文件的高度敏感和个人性质 - 与医疗程序,患者财务和包含图形图像相关 - NextMotion应该做得更多来保持这些信息安全。

NextMotion清楚地意识到这一点。该公司的网站反复阐述了他们遵守的各种政府法规和3d彩吧论坛安全法(“GDPR,HIPPA,ISO等”)。

尽管他们努力,但似乎, 他们未能使用他们的技术保护人们的3d彩吧论坛。在这样做时,他们创造了广泛的潜在问题。

对于NextMotion.

3d彩吧论坛隐私不仅仅对医疗行业工作的公司的关键业务关注。有严重的法律考虑因素。通过曝光患者文件,图像和pii, NextMotion可能对法律行动负责 由患者本身或他们经营的国家内的监管机构。

由于NextMotion是在法国, 它落在欧盟的管辖范围内和GDPR。 这是NextMotion的意识到 - 公司声称是“100%GDPR和健康3d彩吧论坛符合”。

但是,通过不保护其客户的患者3d彩吧论坛, NextMotion仍然可以根据GDPR面临罚款或其他法律行动。

泄露的3d彩吧论坛可以 也导致客户丧失。 如果诊所不信任NextMotion以保持患者的3d彩吧论坛安全,他们将不愿意使用该公司的技术。这可能导致NextMotion失去当前客户,并影响他们计划的扩展到新市场。

最后, 竞争对手可以抓住这样的泄漏来破坏NetMotion。 它不仅可以深入了解其软件如何运作,允许它们复制它,但它们也可能借此机会利用泄漏周围的负面压力。

所有这些结果都可能导致对NextMotion,他们的声誉及其收入造成持久的损害。

对于NextMotion的客户

最有可能的, NextMotion的客户将面临患者的负面反应的命运 他们的细节被泄露了。

以下同意书是来自NextMotion的首屈一指的客户,是法国着名诊所。诊所特征是他们网站上的参考,但可能不希望与此3d彩吧论坛泄漏如此强烈相关。

如果人们不舒服使用可能暴露3d彩吧论坛并选择竞争对手诊所,他们可能会失去业务。这也将通过诊所降低NextMotion技术的任何投资的价值。

如果有人认为他们以任何方式对泄漏负责,诊所本身也可能面临法律行动。 这将是一个耗时和经济上的成果,是否被法院被判内疚。

与NextMotion同样, 这种泄漏可能对任何使用它们的软件对任何诊所都有许多严重的影响。

对于患者来说

这次泄漏的最大问题是它本身为患者创造的隐私和安全问题。

除了暴露的文件的令人难以置信的敏感和亲密性, 他们还使那些受影响的人易受众多形式的欺诈,盗窃和在线攻击。

勒索,敲诈勒索和欺诈

如果犯罪黑客访问此3d彩吧论坛库,他们可能会威胁患者(或诊所),释放文件并导致他们尴尬,身体羞辱或更糟。

黑客可以使用PII和财务记录来针对身份盗窃,网络钓鱼活动和金融欺诈的患者。

这实际上发生在属于3d彩吧论坛库之后 美国佛罗里达州的面部恢复中心(TCFR),于2019年11月被攻击。网络犯罪分子在诊所的服务器上种植了勒索软件,并要求不暴露患者的赎金。他们还直接与患者直接联系过类似的需求。

无法恢复被盗的文件,TCFR认为“过去的受害者和当前的客户可以继续”多年来“,而黑客影响了”高达3,500名患者“。

在更大的规模上,可能发生了类似的结果,这可能已经为NextMotion的客户以及他们的患者有这个3d彩吧论坛库的其他人发现了这个3d彩吧论坛库。

对他们的关系,财务和个人生活的影响将是毁灭性的。

专家的建议

NextMotion可以很容易地避免这种泄漏 如果有一些基本的安全措施来保护其3d彩吧论坛库。这些包括但不限于:

  1. 保护他们的服务器。
  2. 实现适当的访问规则。
  3. 切勿留下不需要对互联网打开身份验证的系统。

任何公司都可以复制相同的步骤,无论其大小。

有关如何保护您的业务的更深入的指南,请查看我们的 保护您网站的指南 和黑客的在线3d彩吧论坛库。

确保打开的S3桶

值得注意的是,开放式公开可观看的S3桶不是AWS的缺陷。 它们通常是桶所有者错误的结果。亚马逊为AWS用户提供了详细的说明,以帮助他们保护S3存储桶并将其保留私密。

在NextMotion的情况下,解决此错误的最快方法是:

  • 重新配置S3桶的设置以更安全。
  • 使桶私有并添加身份验证协议。
  • 遵循AWS访问和身份验证最佳实践。
  • 向他们的S3存储桶添加更多的保护层,以进一步限制谁可以从每个入口点访问它。

对于NextMotion客户

如果您是NextMotion的客户,并且关注这种违约行为如何影响您, 直接联系NextMotion. 了解他们正在采取的措施。

对于NextMotion客户的患者

与您的外科医生或诊所交谈,以确认它们是否使用NextMotion。 询问他们正在采取哪些步骤以确保您的3d彩吧论坛和记录尚未暴露。

要了解有关3d彩吧论坛漏洞和泄漏的更多信息, 读我们 在线隐私的完整指南.

它向您展示了网络犯罪分子目标互联网用户的许多方式,以及 您可以保持安全的步骤。

我们如何以及为什么发现违规行为

VPnmentor研究团队在NextMotion的3d彩吧论坛库中发现了违反巨大的Web映射项目的一部分。 我们的研究人员使用端口扫描来检查特定的IP块并在系统中测试开放孔以获得缺陷。他们调查每个孔进行泄露的3d彩吧论坛。

当他们找到3d彩吧论坛泄露时, 他们使用专家技术来验证3d彩吧论坛库的身份。 然后我们提醒公司的违规行为。如果可能,我们还将通知任何受违规影响的其他方。

我们的团队能够访问此3d彩吧论坛库,因为它是完全不安全和未加密的。

此Web映射项目的目的是帮助所有用户制作互联网更安全。

作为道德黑客, 我们有义务在我们在线安全发现缺陷时通知一家公司。我们伸手去了NextMotion,不仅要让他们了解漏洞,而且还建议他们可以使其系统安全的方式。

这些道德也意味着我们对公众承担责任。 NextMotion客户及其患者必须了解影响它们的3d彩吧论坛泄露。

我们也从不销售,商店或公开我们在安全研究期间遇到的任何信息。

关于我们和之前的报告

vpnmentor.. 是世界上最大的VPN审查网站。 我们的研究实验室是一项促进BONO服务,努力帮助在线社区在教育组织保护其用户3d彩吧论坛时捍卫网络威胁。

我们的道德安全研究团队已经发现并透露了近年来一些最有影响性的3d彩吧论坛泄漏,其中许多在法国和欧洲。

这包括在内 天才泄漏巨大的3d彩吧论坛, 由法国邮政服务建造的应用程序。我们还透露,一家由欧洲酒店巨头古代古代公司拥有的公司损害了 酒店客人的隐私和安全性。你也可能想读过我们的 VPN泄漏报告和3d彩吧论坛隐私统计报告.

NextMotion的评论: “我们在2020年1月27日被告知,网络安全公司在随机选择的公司进行了测试,并设法访问了我们的信息系统。他们能够从一些患者文件中提取视频和照片。此3d彩吧论坛已被证明 - 标识符,出生日期,备注等 - 因此未暴露。

这家公司以唯一的目标进行检查,并提醒我们潜在的入侵风险。我们立即采取了纠正措施,同一公司正式保证安全缺陷完全消失。此事件仅加强我们在使用NextMotion应用程序时保护您的3d彩吧论坛和患者3d彩吧论坛的持续关注。

作为提醒,您的所有3d彩吧论坛都存储在法国,以安全的HDS(个人3d彩吧论坛托管)兼容的医疗云。我们的申请和我们的3d彩吧论坛管理实践于2018年由GDPR(一般3d彩吧论坛保护法规)专门的律师事务所审核,以确保我们遵守2019年生效的3d彩吧论坛监管。

这家公司还与我今天早上发言的“Le Parisien”报纸联系过。关于本主题的新闻文章可能会在未来几天发布,这可能会对您的患者提出疑虑。我们支持您恰恰担心患者可能有任何问题。如果您希望建议他们在此电子邮件地址以书面形式向我们发送疑问,您可以: [email protected]

您必须知道我个人致力于保护我们为您提供的技术。

请接受我对这个幸运的小事的真诚道歉。“

[出版日期:14.02.2020]

关于作者

为VPnmentor写的匿名专家,但保留他们的身份秘密。

你喜欢这篇文章吗?评分!
我讨厌它! 我真的不喜欢它 这个还行吧 非常好! 爱它!
Voted by 用户
感谢您的反馈意见
Comment 注释必须是5到2500个字符。